Un par de fallas de d\u00eda cero identificadas en Ivanti Connect Secure (ICS) y Policy Secure han sido encadenadas por actores estatales sospechosos vinculados a China para violar a menos de 10 clientes.<\/p>\n
La empresa de ciberseguridad Volexity, que identificado<\/a> la actividad en la red de uno de sus clientes en la segunda semana de diciembre de 2023, la atribuy\u00f3 a un grupo de hackers al que rastrea con el nombre UTA0178<\/strong>. Hay evidencia que sugiere que el dispositivo VPN pudo haber sido comprometido ya el 3 de diciembre de 2023.<\/p>\n Las dos vulnerabilidades que se han explotado en la naturaleza para lograr la ejecuci\u00f3n de comandos no autenticados en el dispositivo ICS son las siguientes:<\/p>\n Las vulnerabilidades se pueden formar en una cadena de exploits para hacerse cargo de instancias vulnerables a trav\u00e9s de Internet.<\/p>\n “Si CVE-2024-21887 se utiliza junto con CVE-2023-46805, la explotaci\u00f3n no requiere autenticaci\u00f3n y permite a un actor de amenazas crear solicitudes maliciosas y ejecutar comandos arbitrarios en el sistema”, Ivanti dicho<\/a> en un aviso.<\/p>\n La compa\u00f1\u00eda dijo que ha observado intentos por parte de los actores de amenazas de manipular el verificador de integridad interno de Ivanti (TIC<\/a>), que ofrece una instant\u00e1nea del estado actual del dispositivo.<\/p>\n Se espera que los parches se publiquen de forma escalonada a partir de la semana del 22 de enero de 2024. Mientras tanto, se recomend\u00f3 a los usuarios que apliquen una soluci\u00f3n alternativa para protegerse contra posibles amenazas.<\/p>\n En el incidente analizado por Volexity, se dice que las fallas gemelas se emplearon para “robar datos de configuraci\u00f3n, modificar archivos existentes, descargar archivos remotos y realizar un t\u00fanel inverso desde el dispositivo VPN ICS”.<\/p>\n El atacante modific\u00f3 adem\u00e1s un archivo CGI leg\u00edtimo (compcheck.cgi) en el dispositivo ICS VPN para permitir la ejecuci\u00f3n de comandos. Adem\u00e1s, se modific\u00f3 un archivo JavaScript cargado por la p\u00e1gina de inicio de sesi\u00f3n de Web SSL VPN para registrar las pulsaciones de teclas y filtrar las credenciales asociadas con los usuarios que inician sesi\u00f3n en el dispositivo.<\/p>\n “La informaci\u00f3n y las credenciales recopiladas por el atacante les permitieron acceder a un pu\u00f1ado de sistemas internamente y, en \u00faltima instancia, obtener acceso ilimitado a los sistemas de la red”, dijeron los investigadores de Volexity Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair y Thomas Lancaster. dicho.<\/p>\n Los ataques tambi\u00e9n se caracterizan por esfuerzos de reconocimiento, movimiento lateral y el despliegue de un shell web personalizado denominado GLASSTOKEN a trav\u00e9s del archivo CGI con puerta trasera para mantener un acceso remoto persistente a los servidores web externos.<\/p>\n La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en un alerta<\/a> propio, dijo que ha agregado las dos deficiencias a sus vulnerabilidades explotadas conocidas (KEV<\/a>) cat\u00e1logo, instando a las agencias federales a aplicar las correcciones antes del 31 de enero de 2024.<\/p>\n “Los sistemas con acceso a Internet, especialmente dispositivos cr\u00edticos como Dispositivos VPN y firewalls<\/a>se han convertido una vez m\u00e1s en el objetivo favorito de los atacantes”, dijo Volexity.<\/p>\n “Estos sistemas a menudo se encuentran en partes cr\u00edticas de la red, no pueden ejecutar software de seguridad tradicional y, por lo general, se ubican en el lugar perfecto para que opere un atacante. Las organizaciones deben asegurarse de contar con una estrategia para poder monitorear la actividad de estos dispositivos y responder r\u00e1pidamente si ocurre algo inesperado”.<\/p>\n <\/p>\n\n
\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-piratas-informaticos-chinos-aprovechan-las-fallas-de-dia-cero.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n